Cleo Exploit 的教訓：證據證明保護 MFT 極為重要 

2024 年 12 月，網路安全研究人員在 Cleo 的管理檔案傳輸產品中發現了一個驚人的零時差遠端程式碼執行 (RCE) 漏洞，CSO Online 最先報導了這件事。

攻擊者在野外積極地利用這個缺陷，甚至繞過最近發布的修補程式。儘管 Cleo 初期已進行安全更新，威脅者仍能繼續入侵最新的系統，揭露基本檔案處理、輸入驗證和平台彈性方面根深蒂固的弱點。

最新的事件是令人憂慮的趨勢之一：管理式檔案傳輸解決方案已成為精密網路攻擊的主要目標。這些平台負責透過可信賴的管道安全傳輸高度敏感的資料，對攻擊者來說是極具吸引力的切入點。

在MFT （管理式檔案傳輸）環境中發生的外洩事件可能會引發災難性的結果，從系統性的資料洩漏和違反法規，到關鍵基礎設施部門的作業中斷，都可能造成嚴重的聲譽損害。

在關鍵基礎架構環境中，保護 MFT 不再是可有可無的選擇。組織必須超越被動的修補程式和單一的防毒解決方案。取而代之的是，組織必須採用主動、多層、先進的安全架構，專門用於防禦MFT 作業，以對抗現代威脅環境。

如今，下列內容已不再是最佳實務，而是作業上的必需品：

在2024年底，安全研究人員發現Cleo的管理檔案傳輸產品中的一個重要的零時差遠端程式碼執行漏洞被主動利用。受影響的解決方案包括Cleo LexiCom、Cleo VLTrader和Cleo Harmony，廣泛應用於企業環境。

Cleo LexiCom是一個桌上型的MFT 端，用於連接主要的交易網路。Cleo VLTrader為中型企業提供伺服器層級MFT 功能，而Cleo Harmony則旨在滿足大型企業的整合與安全檔案傳輸需求。

根據Darktrace在 2024 年 12 月的報告，即使在 2024 年 10 月發出初步安全修補程式之後，攻擊者仍繼續利用尚未完全解決的弱點，成功攻擊 Cleo 系統。

安全團隊敦促企業立即中斷受影響伺服器與網際網路的連線，並採取臨時緩解措施，同時等待更完整的修復方案。

1. 利用檔案上傳漏洞達成未經授權的檔案寫入
2. 將惡意檔案丟入「Autorun」資料夾，觸發自動執行
3. 利用自動執行功能部署包含 ZIP 檔案、XML 設定檔案和惡意 PowerShell 指令的有效載荷鏈

後續調查發現先進攻擊者策略的跡象，例如活動目錄偵察、隱藏檔案刪除，以及部署稱為 Cleopatra 的自訂 Java 後門。

Cleo 外洩並非個別事件。過去幾年來，管理式檔案傳輸系統已成為複雜威脅份子的主要攻擊目標。透過這些平台交換的敏感檔案通常與企業營運、客戶資料或法規規範的資訊息息相關，因此成功入侵的報酬極高。 

先前備受注目的案例，例如 MOVEit Transfer、Accellion File Transfer Appliance 和 Fortra GoAnywhere 入侵事件，都顯示出一致的模式：威脅者正將檔案傳輸技術作為企業網路的策略性切入點。  

Cleo 事件強調，如果MFT 解決方案在設計上沒有內建多層次的安全原則，即使擁有已修補、更新系統的組織也會面臨風險。

Cleo 漏洞利用事件凸顯了MFT 解決方案的必要性，此解決方案不僅僅依賴修補程式，而是從一開始就建立了多層安全控制。MetaDefender Managed File Transfer MFT) 專為安全第一的環境而設計，在這種環境中，基於政策的傳輸控制、多層威脅預防、集中治理和嚴格的區域隔離是必不可少的。

確保初始接觸點的安全至關重要。Managed File Transfer MFT）強化存取控制機制，在攻擊者上傳惡意檔案或於網路中建立立足點前，便能阻斷未經授權的入侵行為。

• Secure 控制：將MetaDefender Managed File Transfer MFT) 的存取權限限制於可信賴的內部網路或 VPN 加密網路。此舉可防止系統直接暴露於外部攻擊者，避免其試圖上傳惡意載荷。
• 多因素驗證 (MFA)：強制執行多一層使用者驗證。即使憑證被盜，攻擊者也無法輕易取得未經授權的存取權。
• 具備主管核准的角色式存取控制：將細緻的權限套用至使用者和工作流程。即使是已驗證的使用者，在進行重要的上傳和下載動作時，也必須獲得主管的核准。

在閘道處阻擋惡意檔案，可防止攻擊深入系統內部。MetaDefender Managed File Transfer MFT) 會在任何惡意內容啟動前，徹底分析所有傳入資料。 

• 深度檔案檢查管道：識別並阻止以虛假副檔名偽裝的檔案。惡意 ZIP 檔案或 XML 檔案會在上傳時被偵測到。  
• 原產地偵測：根據地理位置篩選傳入的檔案。可自動攔截源自受限制或高風險地區的檔案。 
• 檔案萃取與內容掃描：在傳輸前完全解壓縮檔案。這會暴露巢狀存檔內隱藏的惡意軟體，例如 PowerShell 漏洞。在此瞭解有關存檔檔案及其威脅的更多資訊。 

要抵禦先進且未知的威脅，必須超越靜態掃描技術。MetaDefender Managed File Transfer MFT）採用多引擎掃描技術，在內容層級中消除潛在風險。 

• Metascan™ 具備 30+Multiscanning 引擎： 使用多種防毒與威脅偵測引擎同時掃描每個檔案。惡意軟體和類似 webshell 的檔案會在執行前被攔截。在此瞭解更多關於Multiscanning 的資訊。 
• Deep CDR™（內容解除與重建）：透過移除活動或可執行元素來重建檔案。提供乾淨、安全的檔案版本，同時解除隱藏的威脅。在此瞭解Deep CDR 如何重新生成檔案。 
• File-Based Vulnerability Assessment：分析檔案，找出日後可被利用的已知漏洞。這可在運行前捕捉武器化的檔案類型。